EU-domstolen har ogiltigförklarat det mellanstatliga dataskyddsavtalet Privacy Shield mellan EU/EES och USA. Fram till i somras möjliggjorde avtalet överföring av personuppgifter till USA från företag och organisationer i Sverige och resten av EU/EES-området.

Viktig dom om dataskydd

Data rör sig över gränser och spelar en allt viktigare roll i den globala ekonomin. Många av IT-aktörerna som utgör nav i denna trafik är amerikanska företag. Domen (C‑311/18) handlar om lagligheten av överföring av personuppgifter från Facebooks dotterbolag i Irland till Facebook i USA, men följderna sträcker sig långt därutöver. Ungefär 5 000 amerikanska organisationer har använt Privacy Shield för att kunna ta emot personuppgifter från användare i Sverige och andra EU- och EES-länder.

− Det EU-domstolen säger är att man måste använda andra legala överföringsmekanismer än Privacy Shield för att följa GDPR. Däremot finns det i dagsläget inte någon entydig tolkning av vad som krävs av personuppgiftsansvariga för att säkerställa att det går att överföra personuppgifter på ett säkert sätt, säger Företagarnas chefsjurist Karin Berggren.

Överföring till tredjeland

Enligt dataskyddsförordningen GDPR krävs strikta säkerhetsåtgärder för överföring av personuppgifter till tredje land, alltså länder som inte tillhör EU/EES. Inom detta område garanterar GDPR ett likvärdigt skydd för personuppgifter och personlig integritet. Utanför detta område finns det stora variation

er mellan hur personuppgifter skyddas och vilket värde personlig integritet tillmäts.

Från EU:s sida har man löst tredjelandsfrågan på lite olika sätt, varav två är vanligast. Dels har EU-kommissionen gjort det möjligt att slå fast att ett visst land lever upp till det som kallas adekvat skyddsnivå. Dels kan man använda sig av så kallade standardavtalsklausuler (SCC) eller bindande företagsbestämmelser (BCR).

− I domen skriver EU-domstolen att standardavtalsklausuler som regel fortfarande kan användas för att överföra personuppgifter till ett tredje land, men att de kan behöva kompletteras med ytterligare skyddsåtgärder. Även överföringar av personuppgifter som sker med stöd av bindande företagsbestämmelser måste bedömas utifrån om det finns tillräckliga skyddsåtgärder, säger Karin Berggren.

Läs också: Handbok: GDPR

Schrems I och Schrems II

Förhållandet mellan personlig integritet i EU/EES och överföring av personuppgifter till USA har länge varit känsligt. Föregångaren till Privacy Shield, EU-US Safe Harbour Principles, ogiltigförklarades också den av EU-domstolen. Då liksom nu var det den österrikiske internetaktivisten Maximilian Schrems som drev frågan om Facebooks överföring av personuppgifter. Domarna kallas därför ibland för Schrems I och Schrems II.

− I grund och botten handlar det om att det finns olika syn på personlig integritet och skydd av personuppgifter i USA och i EU/EES. Det är den juridiska nöten som man försökt knäcka några gånger nu utan att lyckas, säger Karin Berggren.

 Läs också: Checklista: överföring av personuppgifter till USA och andra tredjeländer

Vidta åtgärder nu

Många svenska företag använder molntjänster tillhandahållna av de stora amerikanska IT-bolagen. Det kan röra sig om exempelvis Apple, Facebook, Google och Microsoft eller om CRM-system och bokföringsprogram. Att bara fortsätta att använda dem som om ingenting har hänt går inte eftersom det skulle strida mot GDPR.

− Om man inte redan gjort en kartläggning över vilka tjänster man använder som kan påverkas av domen är det hög tid att göra det. Det gäller att kartlägga och göra riskbedömningar utifrån varje verksamhets utgångspunkt och sedan vidta de åtgärder som man kan för att skydda personuppgifterna, säger Karin Berggren.

För små företag är det inte realistiskt att föra en dialog med leverantörer som Facebook eller Microsoft över alternativa lösningar, men även om man kan anta att det ligger i både de amerikanska företagens och myndigheternas intresse att snabbt finna en lösning eftersom många kunder finns i Europa kan man inte vänta på att problemet ska försvinna genom ett nytt mellanstatligt avtal.

− Sedan 2018 gäller GDPR och alla måste följa den lagstiftningen. Det finns ingen ”quick fix” på den här situationen, utan personuppgiftsansvariga måste göra det de kan för att följa lagen. Många av de stora leverantörerna hänvisar till standardavtalsklausulerna men det är ändå ditt företag som personuppgiftsansvarig som ska bedöma att rätt skyddsnivå finns för personuppgifterna, säger Karin Berggren.